ＩＳＯだけでなく、ＩＳＭＳや、はては組織が新しく導入した「システム」（アプリケーションや財務管理システムなども含む）の登録・導入の効果について、マネジメントレビューするには、どのような情報が必要だろうか？

といったものです。
ＩＳＯに関しては以前、閣下に尋ねたことがあります。
マサ（雅）「ＩＳＯの認証登録の成果はどんなものがありますか？　返上するとどのようなことが起こりえますか？」
審査員閣下「認証すると、組織の管理運用に対して客観的な評価を得るというメリットがありますよね。その客観性において相手企業に対して信頼性を担保することができます。返上すると今の契約元から最悪、契約を切られて会社の売り上げが落ちる可能性があります。契約条件に『ＩＳＯ認証登録』がなくても。私は返上して倒産した会社さんを知っています」
マサ（雅）「ではその信頼を社長がレビューするには、どのような情報や記録が相当しますか？　契約条件に『認証登録』が明確化されていなければ、相手企業に『信頼を与えた』という証拠が『見えない』わけで、レビューするにはやはり『見える化』されたものでなければ、効果があったことがわからない。見えないものをレビューするのは難しく、社長が『ＩＳＯの効果』を認識せずに返上するリスクが発生します。『ＩＳＯの認証登録で契約が保っている』のであれば、その状況は組織にとっては相当のリスクを潜在している形となりますよね」
審査員閣下「そう、認識されているのであれば、信頼について必ず何か記録となるものがあるはずです。私たちは直接的なアドバイスができないので、どういったものがあるかと申し上げることができないので、俺は組織で決定してください」

とまぁ、わけのわからない「改善の機会」*1や「観察事項」は出す癖に、肝心の部分は相変わらずの回答。

アプリケーションソフトなども同じなのですが、結局「ライセンス料」を毎年払っているわけです。
そのライセンス料金に見合う結果を出しているのか？
システム維持費に金をかけるくらいなら、昔の紙ベースで行い、財務の人間一人がパソコンに手入力する方が安いのではないか？

そういった情報をレビューするために必要な情報をどう取得するか？

それが取得できないので、導入・取得・維持・変更・返上のメリット・デメリットの客観化および、その方法をどうパッケージ化（こっちが本題ですが）するかに悩んでいます。

人によっては「内部監査によって明らかになる」と主張される場合もありますが、じゃぁ、どういう「確認」をすれば明らかになるのか？という部分がごっそり抜けてて・・・・・・・

規格で要求されている「確実にする」とは、こういう部分まで含めてなんだろうなぁと思うこの頃です。